วีดีโอ: A day with Scandale - Harmonie Collection - Spring / Summer 2013 (ธันวาคม 2024)
เมื่อเขียนเกี่ยวกับความปลอดภัยของ Android ฉันมักจะเห็นปัญหาเดียวกันซ้ำแล้วซ้ำอีก (SSL, guys! Come on!) เราถาม Widdit CEO Noam Fine และหัวหน้าฝ่ายพัฒนามือถือ Nir Orpaz เพื่ออธิบายว่าทำไมนักพัฒนา Android ตัดสินใจเลือกความปลอดภัยที่พวกเขาทำและสิ่งที่ต้องทำดีขึ้นหลังจากรับมือกับวิกฤตความปลอดภัยของพวกเขาเอง
การขาดความรู้
จากการพูดคุยกับนักพัฒนาของ Widdit ดูเหมือนว่าจะมีการตัดการเชื่อมต่อระหว่างผู้เล่นในระบบนิเวศ Android "ผู้ใช้ยังไม่ได้รับการศึกษามากพอที่จะดูว่าพวกเขากำลังเพิ่มอะไรลงในโทรศัพท์" ดีกล่าว "ฉันไม่แน่ใจว่าทุกคนใส่ใจมากขนาดนั้น"
นักพัฒนาไม่ทราบว่าความเสี่ยงที่แอพสามารถแสดงได้ "นักพัฒนาไม่เข้าใจอย่างเต็มที่ว่าสิ่งที่พวกเขาส่งเป็นข้อมูลส่วนบุคคล" Orphaz กล่าว ดีเห็นด้วยบอกว่าไม่มีกฎอย่างหนักและรวดเร็วเกี่ยวกับข้อมูลที่เป็น "ส่วนตัว" จริงๆ
ปัญหาอีกประการหนึ่งคือผู้โฆษณาของบุคคลที่สามซึ่งจ่ายเงินให้นักพัฒนาเพื่อรวมชุดพัฒนาซอฟต์แวร์ (SDK) ลงในแอพเพื่อรวบรวมข้อมูลเกี่ยวกับผู้ใช้ ผู้โฆษณาสามารถรวบรวมข้อมูลจากหลาย ๆ แอปเป็นเอกสารที่มีรายละเอียดที่น่าตกใจ ตัวอย่างเช่นแอปหนึ่งอาจขออายุของคุณและอีกแอปหนึ่งสำหรับชื่อของคุณ แต่ผู้ลงโฆษณารายเดียวกันอาจมีข้อตกลงกับทั้งคู่
เป็นที่น่าสังเกตว่า Widdit นั้นอยู่ระหว่างการพัฒนาแอพและการโฆษณา พวกเขาพัฒนาแพลตฟอร์ม SDK ที่สามารถแทรกลงในแอพเพื่อให้นักพัฒนาแอพสามารถสร้างรายได้จากการสร้างสรรค์ของพวกเขา
ในการปรับการขาดการให้ความรู้แก่ผู้ใช้ทำให้เกิดความรับผิดชอบต่อความปลอดภัยอย่างสิ้นเชิงกับผู้พัฒนา “ ถ้าคุณใส่ใจเกี่ยวกับชื่อเสียงของคุณคุณต้องใช้ความพยายามอย่างมากในการดูแลรักษาซึ่งหมายถึงการดำเนินธุรกิจของคุณเช่นเดียวกับการปฏิบัติด้านความปลอดภัย” Fine กล่าว เขาสนับสนุนให้นักพัฒนาคิดอย่างรอบคอบก่อนที่จะสมัครกับผู้โฆษณาและติดตั้ง SDK ลงในแอพของพวกเขา นอกจากนี้เขายังสนับสนุนให้นักพัฒนาตรวจสอบสิทธิ์ที่จำเป็นสำหรับ SDK ก่อนที่จะเปิดใช้งานแอปของพวกเขา "ถ้าคุณเป็นนักพัฒนาซอฟต์แวร์ไม่ขอสิทธิ์เหล่านั้นคุณยินดีที่จะให้สิทธิ์เหล่านั้นแก่ SDK"
การพัฒนาอย่างปลอดภัย
ทั้ง Fine และ Orphaz กล่าวว่าการพูดคุยเกี่ยวกับความปลอดภัยเป็นสิ่งหนึ่ง แต่การใช้งานในแอพนั้นค่อนข้างต่างไปจากเดิม การรักษาการเชื่อมต่อ SSL ที่เข้ารหัสไว้เพื่อการส่งข้อมูลเป็นแนวปฏิบัติที่ดี แต่สิ่งหนึ่งที่อาจเป็นความท้าทายสำหรับนักพัฒนารายย่อย "คุณต้องได้รับเซิร์ฟเวอร์ SSL และบางครั้งนั่นไม่ใช่เรื่องง่ายที่จะได้รับ" Orpaz อธิบาย เราเคยเห็น บริษัท จำนวนมากวิพากษ์วิจารณ์ว่าเลี่ยง SSL หรือผิดพลาด
ช่องโหว่บางอย่างเกิดขึ้นจากฟังก์ชั่นพื้นฐานที่สุด จากตัวอย่าง Fine ชี้ไปที่สิทธิ์ Android ที่อนุญาตให้แอพเชื่อมต่ออินเทอร์เน็ต "นั่นคือสิ่งที่นักพัฒนาทุกคนทำ" ดีกล่าว "เมื่อคุณเชื่อมต่อกับเครือข่าย
เขาสนับสนุนให้นักพัฒนาใช้สามัญสำนึกและกำหนดความเสี่ยงที่อาจเกิดขึ้นจากคุณสมบัติที่รวมอยู่ในแอพของพวกเขารวมถึงรวบรวมข้อมูลเกี่ยวกับผู้ใช้ “ ถ้าคุณทำสิ่งนี้คุณต้องหยุดและคิดว่า 'ฉันกำลังทำอะไรเพื่อลดความเสี่ยง?' "ฉันไม่แน่ใจว่านักพัฒนาส่วนใหญ่ทำเช่นนั้น"
ประสบการณ์มือแรก
Widdit มีปัญหาด้านความปลอดภัยของตัวเองซึ่งเรารายงานในโพสต์ภัยคุกคามบนมือถือเมื่อวันจันทร์ที่ผ่านมา ระบบของพวกเขาใช้รหัส SDK ภายในแอปที่เรียกเซิร์ฟเวอร์ระยะไกลทุกวันเพื่อดาวน์โหลดการอัปเดตไปยังโทรศัพท์ Android นักวิจัยด้านความปลอดภัยตั้งค่าสถานะว่าเป็นอันตรายเนื่องจากการสื่อสารถูกจัดการโดยไม่มีการเชื่อมต่อ SSL อาจทำให้ผู้โจมตีสามารถสกัดกั้นไฟล์และแทนที่ด้วยไฟล์ที่เป็นอันตราย
Fine และ Orphaz เน้นว่าพวกเขารู้เกี่ยวกับปัญหาก่อนที่จะมีการประกาศโดยนักวิจัยและได้วางแผนไว้แล้วว่าจะแก้ไขในอนาคต "ช่องโหว่นี้ถูกมองว่ามีโอกาสเกิดขึ้นน้อยมากเมื่อเราเข้าใจดีขึ้นเราจะดูแลทันทีและออกเวอร์ชันใหม่" วิจิตรอธิบายว่าประสบความสำเร็จในการโจมตีโดยใช้ Widdit เป็นโอกาส "หนึ่งในพันล้าน"
แต่เขายอมรับว่าการเปลี่ยนแปลงที่จำเป็นต้องทำ “ มันไม่ดีพอที่จะบอกว่ามันเป็นความน่าจะเป็นที่ต่ำจริงๆ” Fine กล่าว
เป็นความจริงที่ว่าผู้โจมตีจะต้องใช้ความพยายามอย่างมากในการใช้ Widdit เพื่อโจมตีโทรศัพท์ของใครบางคน แน่นอนว่ามันจะไม่เป็นสิ่งที่นักต้มตุ๋น Android ทั่วไปจะพยายาม แต่ผู้โจมตีสามารถรวบรวมทรัพยากรมหาศาลหากผลตอบแทนคุ้มค่าและภูมิประเทศของภัยคุกคามบนมือถือกำลังเปลี่ยนแปลงอยู่ตลอดเวลา สิ่งที่อาจเป็นโอกาสหนึ่งพันล้านต่อวันนี้อาจเป็นสิ่งที่แน่นอนในวันพรุ่งนี้
ทุกคนขึ้นเกมของคุณ
ผู้ใช้ Android อาจกังวลเรื่องความปลอดภัยมากขึ้นเนื่องจากการเปิดเผย Snowden เกี่ยวกับการรวบรวมข้อมูลของ NSA แต่พวกเขาก็ควรดูแอพของตัวเองด้วย เราได้เห็นแล้วว่าเอเจนซี่สายลับใช้ประโยชน์จากเกมอย่าง Angry Birds เพื่อรวบรวมข้อมูลของพวกเขาอย่างไร วิจิตรกล่าวว่าผู้ใช้ขับเคลื่อนระบบนิเวศ Android และหากพวกเขาต้องการความปลอดภัยที่ดีขึ้นนักพัฒนาจะต้องปฏิบัติตาม
“ ทุกคนมีความรับผิดชอบในฐานะผู้ใช้ Android ในการกำหนดมาตรฐานและให้การศึกษาตัวเองและลูก ๆ ของคุณ” Fine กล่าว "ลูกหลานของเราเติบโตขึ้นพวกเขาไม่รู้เวลาที่ทุกสิ่งไม่ได้ถูกแบ่งปัน" ดีนักพัฒนาอย่างต่อเนื่องว่า "ต้องรู้สึกถึงความรับผิดชอบเดียวกัน"